Antonio López

**Nome do software vulnerável e versões afetadas** Cisco Identity Services Engine (ISE) (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no recurso Localdisk Management poderia permitir que um invasor remoto autenticado fizesse alterações não autorizadas no sistema de arquivos de um dispositivo afetado. Esse problema se deve a uma validação insuficiente de entradas, permitindo que um invasor o explore enviando uma solicitação HTTP maliciosa com sequências de caminhos absolutos. Uma exploração bem-sucedida poderia permitir que o invasor enviasse arquivos maliciosos para locais arbitrários dentro do sistema de arquivos, potencialmente acessando o sistema operacional subjacente e executando comandos com privilégios de sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Cisco Identity Services Engine (ISE) (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade na interface de gerenciamento baseada na web poderia permitir que um invasor remoto não autenticado realizasse um ataque de falsificação de solicitação entre sites (CSRF) e executasse ações arbitrárias em um dispositivo afetado. Este problema se deve a proteções CSRF insuficientes na interface de gerenciamento baseada na web. Um invasor poderia explorar essa vulnerabilidade persuadindo um usuário a clicar em um link malicioso, o que poderia permitir que o invasor realizasse ações arbitrárias com os privilégios do usuário alvo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Cisco Identity Services Engine (ISE) (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade na interface de gerenciamento baseada na web do Cisco Identity Services Engine (ISE) poderia permitir que um invasor remoto autenticado realizasse um ataque de script entre sites (XSS) contra um usuário da interface de gerenciamento baseada na web de um dispositivo afetado. Este problema se deve à validação insuficiente das entradas fornecidas pelo usuário pela interface de gerenciamento baseada na web. Um invasor poderia explorar isso injetando código malicioso em páginas específicas da interface, permitindo potencialmente a execução de código de script arbitrário no contexto da interface afetada ou o acesso a informações confidenciais baseadas no navegador. **Recomendações** Para resolver este problema, atualize o Cisco Identity Services Engine (ISE) para uma versão que inclua a correção para esta vulnerabilidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.